Get best of the week

Obtenir l'ID CVE

Après la publication de notre article «CSRF dans Umbraco CMS», nous avons reçu plusieurs messages avec des questions concernant le processus d'obtention de CVE. Cet article explique ce qu'il faut faire lorsqu'un fournisseur refuse d'attribuer un index CVE à une vulnérabilité trouvée dans son produit.

Le travail avec les vulnérabilités découvertes s'effectue en trois étapes principales:

  1. Notification du fournisseur
  2. Confirmation et correction d'une vulnérabilité trouvée
  3. Divulgation publique

Après avoir trouvé une vulnérabilité dans le produit, vous devez établir un rapport détaillé pour le fournisseur et rechercher des contacts à contacter. Si le fournisseur a des contacts sur les problèmes de sécurité du produit et les clés de chiffrement publiques, vous pouvez immédiatement envoyer une lettre qui contiendra un rapport chiffré. C'est la meilleure option pour le chercheur. Cependant, ce n'est pas toujours le cas. Par conséquent, s'il n'y a pas de contacts de sécurité distincts (et de clés de cryptage), vous devez commencer la correspondance via toutes les adresses communes. La première lettre doit informer sur l'identification des vulnérabilités, demander les contacts des responsables de la sécurité et des informations sur la façon d'envoyer le rapport sous une forme protégée. Cependant, il arrive que des représentants du vendeur demandent à envoyer un rapport sans aucun cryptage.
Chaque lettre doit indiquer la date limite, après laquelle il y aura une divulgation publique des informations sur la vulnérabilité (pas plus de 4 mois à compter de la date du premier contact).

Cela vous permettra de le publier même si le vendeur ne répond pas aux lettres (immédiatement ou après un certain temps).

La divulgation publique dans chaque cas peut se faire de différentes manières: tout dépend de la criticité et de l'ampleur de la vulnérabilité trouvée. Mais cela dépasse le cadre de cet article.

Le rapport contient les sections suivantes:

  • Titre (nom de la vulnérabilité)
  • Le produit dans lequel la vulnérabilité a été découverte
  • Version (ou versions) des produits vulnérables
  • Cote de menace CVSS (et / ou tout simplement faible à critique)
  • Date de découverte
  • Description de la vulnérabilité
  • Exemple de fonctionnement (preuve de concept)
  • Recommandations de correction

Le plus souvent, le fournisseur prend contact et après un certain temps signale les délais de correction de la vulnérabilité. Déterminé conjointement et la date de publication, qui peut différer de la date limite indiquée précédemment. Parfois, vous pouvez publier des informations plus tôt, mais dans la plupart des cas, le fournisseur demande plus de temps.

C'est à ce stade que vous devez obtenir l'identifiant CVE pour l'ajouter à la publication.

Examinez le processus plus en détail.
L'identifiant devrait en théorie être attribué par le développeur du produit vulnérable. Mais cela ne se produit pas toujours. Dans de tels cas, le chercheur pourra obtenir lui-même la CVE. Pour ce faire, vous devez vous rendre sur le site et y trouver le formulaire suivant:



Dans le type de demande, sélectionnez "Demander un ID CVE" et remplissez tous les champs.

MITRE a une excellente FAQ qui vous aidera à remplir le formulaire.

Après avoir renseigné l'adresse e-mail spécifiée, une réponse automatique contient le numéro de demande. Il peut et doit être utilisé dans d'autres communications:



Après une journée, l'identifiant CVE peut être obtenu:



Victoire! Les informations de vulnérabilité peuvent être publiées avec tous les détails pertinents, y compris un identifiant CVE.

Posez des questions et partagez vos expériences dans les commentaires et dans notre groupe Facebook !

More articles:


All Articles